| | | | | | | |
|
| | Nom du journal | Type d'événement | Catégorie | Généré le | Utilisateur | Source | Description
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:15:00 | Système | Microsoft-Windows-User Profiles Service | 1534: Échec de la notification du profil de l’événement Create pour le composant {D63AA156-D534-4BAC-9BF1-55359CF5EC30}. Le code d’erreur est Le chemin d’accès spécifié est introuvable. .
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:15:00 | Système | Microsoft-Windows-User Profiles Service | 1534: Échec de la notification du profil de l’événement Create pour le composant {D63AA156-D534-4BAC-9BF1-55359CF5EC30}. Le code d’erreur est Le chemin d’accès spécifié est introuvable. .
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:15:00 | Système | Microsoft-Windows-User Profiles Service | 1534: Échec de la notification du profil de l’événement Create pour le composant {D63AA156-D534-4BAC-9BF1-55359CF5EC30}. Le code d’erreur est Le chemin d’accès spécifié est introuvable. .
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:15:00 | Système | Microsoft-Windows-User Profiles Service | 1534: Échec de la notification du profil de l’événement Create pour le composant {D63AA156-D534-4BAC-9BF1-55359CF5EC30}. Le code d’erreur est Le chemin d’accès spécifié est introuvable. .
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:15:00 | Système | Microsoft-Windows-User Profiles Service | 1534: Échec de la notification du profil de l’événement Create pour le composant {56EA1054-1959-467f-BE3B-A2A787C4B6EA}. Le code d’erreur est ???.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:15:01 | Système | Microsoft-Windows-User Profiles Service | 1534: Échec de la notification du profil de l’événement Create pour le composant {D63AA156-D534-4BAC-9BF1-55359CF5EC30}. Le code d’erreur est Le chemin d’accès spécifié est introuvable. .
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:18:08 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:18:08 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:18:08 | | OVRServiceLauncher | 0:
|
| | Application | Erreur | 14 | 2017-10-28 23:18:18 | | MSDTC Client 2 | 4104: Échec de lecture de l'état du nœud de cluster : . Le code d'erreur retourné est : 0x8007085A
|
| | Application | Erreur | 14 | 2017-10-28 23:18:18 | | MSDTC 2 | 4104: Échec de lecture de l'état du nœud de cluster : . Le code d'erreur retourné est : 0x8007085A
|
| | Application | Avertissement | 14 | 2017-10-28 23:18:18 | | MSDTC Client 2 | 4104: Échec de lecture de l'état du nœud de cluster : PCDEGNUTVR2017. Le code d'erreur retourné est : 0x8007085A
|
| | Application | Erreur | 14 | 2017-10-28 23:18:19 | | MSDTC Client 2 | 4104: Échec de lecture de l'état du nœud de cluster : . Le code d'erreur retourné est : 0x8007085A
|
| | Application | Erreur | 3 | 2017-10-28 23:19:35 | | ESENT | 455: mighost (3776,R,0) TILEREPOSITORYS-1-0-0: L’erreur -1023 (0xfffffc01) s’est produite lors de l’ouverture d’un fichier journal C:\Users\Default\AppData\Local\TileDataLayer\Database\EDB.log.
|
| | Application | Avertissement | 3 | 2017-10-28 23:19:54 | | MSDTC Client 2 | 4879: MS DTC a rencontré une erreur (HR=0x80000171) lors de l'établissement d'une connexion sécurisée avec le système PCDEGNUTVR2017.
|
| | Application | Erreur | 14 | 2017-10-28 23:19:55 | | MSDTC Client 2 | 4104: Échec de lecture de l'état du nœud de cluster : . Le code d'erreur retourné est : 0x8007085A
|
| | Application | Avertissement | 14 | 2017-10-28 23:19:55 | | MSDTC Client 2 | 4104: Échec de lecture de l'état du nœud de cluster : PCDEGNUTVR2017. Le code d'erreur retourné est : 0x8007085A
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_OfflineFilesConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, InvProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, UserProfileConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_UserStateConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_FolderRedirectionConfiguration, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_OfflineFilesConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_UserStateConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, UserProfileConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, InvProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_FolderRedirectionConfiguration, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, Win32_OfflineFilesConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, UserProfileConfigurationProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, MDMSettingsProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, MDMSettingsProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DMWmiBridgeProv1, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DMWmiBridgeProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DMWmiBridgeProv1, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DMWmiBridgeProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DMWmiBridgeProv1, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DMWmiBridgeProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, MDMSettingsProv, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\mdm, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, PowerMeterProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\power, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, PowerMeterProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\power, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, ProfileAssociationProviderCimV2, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\power, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, PowerWmiProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\power, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, PowerMeterProvider, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\power, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, ProfileAssociationProviderCimV2, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\CIMV2\power, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, MINT, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\PEH, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, MINT, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\PEH, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, MINT, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\PEH, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, NetEventPacketCapture, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\StandardCimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, NetEventPacketCapture, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\StandardCimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, AssignedAccess, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\StandardCimv2\embedded, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:19:59 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, NetEventPacketCapture, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\StandardCimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, ProfileAssociationProviderInterop, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Interop, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, ProfileAssociationProviderInterop, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Interop, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, WsmAgent, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Microsoft\Windows\winrm, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, WsmAgent, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Microsoft\Windows\winrm, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, EventTracingManagement, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Microsoft\Windows\EventTracingManagement, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, EventTracingManagement, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Microsoft\Windows\EventTracingManagement, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, EventTracingManagement, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Microsoft\Windows\EventTracingManagement, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | Aucun(e) | 2017-10-28 23:20:00 | Système | Microsoft-Windows-WMI | 63: Un fournisseur, DSCCoreProviders, a été inscrit dans l’espace de noms Windows Management Instrumentation ROOT\Microsoft\Windows\DesiredStateConfiguration, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
|
| | Application | Avertissement | 1 | 2017-10-28 23:21:34 | | Windows Search Service | 1008: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Mise à niveau de la version de l’index}.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:23:42 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:23:42 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:24:03 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:24:59 | gnut | Microsoft-Windows-AppModel-State | 11: Tentative de chargement d’un programme de format incorrect.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:24:59 | gnut | Microsoft-Windows-AppModel-State | 11: Tentative de chargement d’un programme de format incorrect.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:25:02 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:25:20 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:39:55 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:40:23 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:56:13 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:56:32 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:57:46 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:58:03 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-28 23:58:52 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-29 00:04:05 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-29 00:05:23 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-29 00:07:03 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-29 01:03:57 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-29 01:09:43 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:09:43 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:09:43 | | OVRServiceLauncher | 0:
|
| | Application | Erreur | Aucun(e) | 2017-10-29 01:10:12 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:10:12 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:10:12 | | OVRServiceLauncher | 0:
|
| | Application | Erreur | Aucun(e) | 2017-10-29 01:13:14 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:13:14 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:13:14 | | OVRServiceLauncher | 0:
|
| | Application | Avertissement | Aucun(e) | 2017-10-29 01:13:19 | | OVRServiceLauncher | 0:
|
| | Application | Erreur | Aucun(e) | 2017-10-29 05:23:46 | gnut | Microsoft-Windows-User Profiles Service | 1533: Windows ne peut pas supprimer le répertoire de profils C:\Users\maick. Ce problème peut être causé par des fichiers situés dans ce répertoire qui sont utilisés par un autre programme. DÉTAIL - Le répertoire n’est pas vide.
|
| | Application | Erreur | 100 | 2017-10-29 06:08:12 | | Application Error | 1000: Nom de l’application défaillante Microsoft.Photos.exe, version : 2017.39091.15730.0, horodatage : 0x59efa17b Nom du module défaillant : Windows.UI.Xaml.dll, version : 10.0.16299.15, horodatage : 0xf6706fe0 Code d’exception : 0xc000027b Décalage d’erreur : 0x00000000006e7269 ID du processus défaillant : 0x3d2c Heure de début de l’application défaillante : 0x01d35073eaf1a72f Chemin d’accès de l’application défaillante : C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2017.39091.15730.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe Chemin d’accès du module défaillant: C:\Windows\System32\Windows.UI.Xaml.dll ID de rapport : c7366f75-9c67-417a-9a76-58f13d5eec3d Nom complet du package défaillant : Microsoft.Windows.Photos_2017.39091.15730.0_x64__8wekyb3d8bbwe ID de l’application relative au package défaillant : App
|
| | Application | Erreur | Aucun(e) | 2017-10-29 09:32:16 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-30 14:20:24 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-30 14:20:24 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-30 14:29:26 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-31 03:04:43 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Avertissement | Aucun(e) | 2017-10-31 07:45:22 | Système | Microsoft-Windows-RestartManager | 10010: Impossible de redémarrer l’application « C:\Program Files (x86)\Google\Chrome Remote Desktop\61.0.3163.20\remoting_host.exe » (pid 5492) - 1.
|
| | Application | Avertissement | Aucun(e) | 2017-10-31 07:45:22 | Système | Microsoft-Windows-RestartManager | 10010: Impossible de redémarrer l’application « C:\Program Files (x86)\Google\Chrome Remote Desktop\61.0.3163.20\remoting_host.exe » (pid 5492) - 1.
|
| | Application | Erreur | Aucun(e) | 2017-10-31 18:15:11 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-31 18:15:27 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Erreur | Aucun(e) | 2017-10-31 18:16:06 | | SideBySide | 78: La création du contexte d’activation a échoué pour « C:\Program Files (x86)\Samsung\SideSync4\SideSync.exe ». Erreur dans le fichier de manifeste ou de stratégie « ? » à la ligne ?. Une version de composant nécessaire à l’application est en conflit avec une autre version de composant déjà active. Les composants en conflit sont : Composant 1 : C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_cc92fb402215d91d.manifest. Composant 2 : C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.16299.15_none_1440321736920223.manifest.
|
| | Application | Avertissement | Aucun(e) | 2017-10-31 22:10:56 | | Outlook | 27: Calendar Folder Created
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:12 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x1a0 Nom du nouveau processus : ??????????????-??6?4????0--?0??????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x4 Nom du processus créateur : ??????? Ligne de commande du processus : ????0--?0??????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:12 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x1ac Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x1a0 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13573 | 2017-10-28 23:13:12 | | Microsoft-Windows-Security-Auditing | 4826: Données de configuration de démarrage chargées. Objet : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x3e7 Paramètres généraux : Options de chargement : - Options avancées : %%1843 Stratégie d'accès à la configuration : %%1846 Journalisation des événements système : %%1843 Débogage Kernel: %%1843 Type de démarrage VSM : %%1848 Paramètres de signature : Signature de test : %%1843 Signature de vol : %%1842 Désactiver les vérifications de l'intégrité : %%1843 Paramètres de l'hyperviseur: Options de chargement de l'hyperviseur : - Type de démarrage de l'hyperviseur : %%1848 Débogage de l'hyperviseur : %%1843
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:13 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x1ec Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x1a0 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 12288 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4608: Windows démarre. Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 0 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : - Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x4 Nom du processus : ? Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : - Package d'authentification : - Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-0 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x250 Nom du processus : C:\Windows\System32\wininit.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-0 Nom du compte : UMFD-0 Domaine du compte : Font Driver Host ID d'ouverture de session : 0x14d90 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x250 Nom du processus : C:\Windows\System32\wininit.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-1 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x2fc Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-1 Nom du compte : UMFD-1 Domaine du compte : Font Driver Host ID d'ouverture de session : 0x14db2 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2fc Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-20 Nom du compte : SERVICE RÉSEAU Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e4 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-96-0-1 Nom du compte : UMFD-1 Domaine du compte : Font Driver Host ID du compte : 0x14db2 Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-20 Nom du compte : SERVICE RÉSEAU Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e4 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x294 Nom du nouveau processus : ????????????????-??6??0????0--?0???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x250 Nom du processus créateur : ???????????????e?????? Ligne de commande du processus : ????0--?0???????????????e?????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x2a0 Nom du nouveau processus : ??????????????e??? ????????? ???????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x250 Nom du processus créateur : ???????????????e?????? Ligne de commande du processus : ????0--?0???????????????e?????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x1fc Nom du nouveau processus : ??????????????-??6??0????0--?0????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x1a0 Nom du processus créateur : ????????????????????4? Ligne de commande du processus : ????0--?0????????????????????4? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x208 Nom du nouveau processus : ??????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x1fc Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x248 Nom du nouveau processus : ??????????????-??6??0????0--?0????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x1a0 Nom du processus créateur : ????????????????????4? Ligne de commande du processus : ????0--?0????????????????????4? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x250 Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x1fc Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x258 Nom du nouveau processus : ??????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x248 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4902: La table de stratégie d’audit par utilisateur a été créée. Nombre d’éléments : 0 ID de la stratégie : 0x14a5c
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4720: Un compte d’utilisateur a été créé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Nouveau compte : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Attributs : Nom du compte SAM : WDAGUtilityAccount Nom complet : %%1793 Nom principal de l’utilisateur : - Répertoire de base : %%1793 Lecteur de base : %%1793 Chemin d’accès au script : %%1793 Chemin d’accès au profil : %%1793 Stations de travail des utilisateurs : %%1793 Dernière modification du mot de passe le : %%1794 Le compte expire le : %%1794 ID de groupe principal : 513 Délégué autorisé : - Ancienne valeur UAC : 0x0 Nouvelle valeur UAC : 0x15 Contrôle du compte d’utilisateur (UAC) : %%2080 %%2082 %%2084 Paramètres d’utilisateur : %%1793 Historique SID : - Horaire d’accès : %%1797 Informations supplémentaires : Privilèges -
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : - Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : 0x15 Nouvelle valeur UAC : 0x11 Contrôle du compte d’utilisateur : %%2050 Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : - Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : - Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:13:14 | | Microsoft-Windows-Security-Auditing | 4728: Un membre a été ajouté à un groupe global dont la sécurité est activée. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine de comptes : WORKGROUP ID de connexion : 0x3e7 Membre : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : - Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-513 Nom du groupe : Aucun Domaine du groupe : PCDEGNUTVR2017 Informations supplémentaires : Privilèges : - Heure d'expiration : (null)
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : DWM-1 Domaine du compte : Window Manager GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x2fc Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d'ouverture de session : 0x1bc4f ID d'ouverture de session liée : 0x1bc64 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2fc Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d'ouverture de session : 0x1bc64 ID d'ouverture de session liée : 0x1bc4f Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2fc Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e5 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d’ouverture de session : 0x1bc4f Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d’ouverture de session : 0x1bc64 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 5033: Le pilote du Pare-feu Windows est correctement démarré.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 3 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-7 Nom du compte : ANONYMOUS LOGON Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x1229f9 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x0 Nom du processus : - Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : NTLM V1 Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:13:33 | | Microsoft-Windows-Security-Auditing | 5024: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:13:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:13:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:14:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:14:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:14:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:14:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-581 Nom du compte : System Managed Accounts Group Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-545 Nom du compte : Utilisateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-547 Nom du compte : Utilisateurs avec pouvoir Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-580 Nom du compte : Utilisateurs de gestion à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-558 Nom du compte : Utilisateurs de l’Analyseur de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-555 Nom du compte : Utilisateurs du Bureau à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-559 Nom du compte : Utilisateurs du journal de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-562 Nom du compte : Utilisateurs du modèle COM distribué Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1005 Nom du compte : HomeUsers Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-578 Nom du compte : Administrateurs Hyper-V Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-552 Nom du compte : Duplicateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-568 Nom du compte : IIS_IUSRS Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-546 Nom du compte : Invités Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-573 Nom du compte : Lecteurs des journaux d’événements Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-579 Nom du compte : Opérateurs d'assistance de contrôle d'accès Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-569 Nom du compte : Opérateurs de chiffrement Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:14:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-556 Nom du compte : Opérateurs de configuration réseau Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x830 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:15:00 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : defaultuser0 Nom complet : %%1793 Nom principal de l’utilisateur : - Répertoire de base : %%1793 Lecteur de base : %%1793 Chemin d’accès au script : %%1793 Chemin d’accès au profil : %%1793 Stations de travail utilisateurs : %%1793 Dernière modification du mot de passe le : 30/04/2017 03:35:15 Le compte expire le : %%1794 ID de groupe principal : 513 Délégué autorisé : - Ancienne valeur UAC : 0x11 Nouvelle valeur UAC : 0x11 Contrôle du compte d’utilisateur : - Paramètres utilisateur : %%1793 Historique SID : - Horaire d’accès : %%1797 Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:15:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:15:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:15:24 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:15:24 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:15:24 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x15e4 Nom du processus : C:\$WINDOWS.~BT\Sources\mighost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:15:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:15:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:15:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:15:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:16:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x148c Nom du processus : C:\$WINDOWS.~BT\Sources\mighost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:16:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\$WINDOWS.~BT\Sources\mighost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:16:22 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xf90 Nom du processus : C:\$WINDOWS.~BT\Sources\mighost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:16:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:16:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:10 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x294 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:10 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 103 | 2017-10-28 23:17:25 | | Microsoft-Windows-Eventlog | 1100: Le service d’enregistrement des événements a été arrêté.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:52 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x170 Nom du nouveau processus : ??????????????-??6?4????0--?0??????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x4 Nom du processus créateur : ??????? Ligne de commande du processus : ????0--?0??????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13573 | 2017-10-28 23:17:52 | | Microsoft-Windows-Security-Auditing | 4826: Données de configuration de démarrage chargées. Objet : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x3e7 Paramètres généraux : Options de chargement : - Options avancées : %%1843 Stratégie d'accès à la configuration : %%1846 Journalisation des événements système : %%1843 Débogage Kernel: %%1843 Type de démarrage VSM : %%1848 Paramètres de signature : Signature de test : %%1843 Signature de vol : %%1842 Désactiver les vérifications de l'intégrité : %%1843 Paramètres de l'hyperviseur: Options de chargement de l'hyperviseur : - Type de démarrage de l'hyperviseur : %%1848 Débogage de l'hyperviseur : %%1843
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:53 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x18c Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x170 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:54 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x20c Nom du nouveau processus : ??????????????-??6??0????0--?0????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x170 Nom du processus créateur : ????????????????????4? Ligne de commande du processus : ????0--?0????????????????????4? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:54 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x218 Nom du nouveau processus : ??????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x20c Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 12288 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4608: Windows démarre. Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 0 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : - Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x4 Nom du processus : ? Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : - Package d'authentification : - Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-0 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x270 Nom du processus : C:\Windows\System32\wininit.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-0 Nom du compte : UMFD-0 Domaine du compte : Font Driver Host ID d'ouverture de session : 0x9c30 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x270 Nom du processus : C:\Windows\System32\wininit.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-20 Nom du compte : SERVICE RÉSEAU Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e4 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-1 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x1c8 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-1 Nom du compte : UMFD-1 Domaine du compte : Font Driver Host ID d'ouverture de session : 0xe645 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1c8 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-20 Nom du compte : SERVICE RÉSEAU Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e4 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x268 Nom du nouveau processus : ??????????????-??6??0????0--?0????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x170 Nom du processus créateur : ????????????????????4? Ligne de commande du processus : ????0--?0????????????????????4? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x270 Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x20c Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x278 Nom du nouveau processus : ??????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x268 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x2b8 Nom du nouveau processus : ????????????????-??6??0????0--?0???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x270 Nom du processus créateur : ???????????????e?????? Ligne de commande du processus : ????0--?0???????????????e?????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x2c4 Nom du nouveau processus : ??????????????e??? ????????? ???????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x270 Nom du processus créateur : ???????????????e?????? Ligne de commande du processus : ????0--?0???????????????e?????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:17:55 | | Microsoft-Windows-Security-Auditing | 4902: La table de stratégie d’audit par utilisateur a été créée. Nombre d’éléments : 0 ID de la stratégie : 0x9aae
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : DWM-1 Domaine du compte : Window Manager GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x1c8 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d'ouverture de session : 0xee70 ID d'ouverture de session liée : 0xee81 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1c8 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d'ouverture de session : 0xee81 ID d'ouverture de session liée : 0xee70 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1c8 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e5 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d’ouverture de session : 0xee70 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d’ouverture de session : 0xee81 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:17:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-578 Nom du compte : Administrateurs Hyper-V Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-552 Nom du compte : Duplicateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-568 Nom du compte : IIS_IUSRS Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-546 Nom du compte : Invités Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-573 Nom du compte : Lecteurs des journaux d’événements Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-579 Nom du compte : Opérateurs d'assistance de contrôle d'accès Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-569 Nom du compte : Opérateurs de chiffrement Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-556 Nom du compte : Opérateurs de configuration réseau Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-581 Nom du compte : System Managed Accounts Group Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-545 Nom du compte : Utilisateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-547 Nom du compte : Utilisateurs avec pouvoir Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-580 Nom du compte : Utilisateurs de gestion à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-558 Nom du compte : Utilisateurs de l’Analyseur de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-555 Nom du compte : Utilisateurs du Bureau à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-559 Nom du compte : Utilisateurs du journal de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-562 Nom du compte : Utilisateurs du modèle COM distribué Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:07 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1005 Nom du compte : HomeUsers Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 5033: Le pilote du Pare-feu Windows est correctement démarré.
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 5024: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 3 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-7 Nom du compte : ANONYMOUS LOGON Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x36583 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x0 Nom du processus : - Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : NTLM V1 Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xc0c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xc0c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e4 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xd84 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:18:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e4 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xd84 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:18:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:18:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : Key Nom de l’objet : \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration ID du handle : 0x123c Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI(AU;IDSAFA;KW;;;WD)(AU;CIIOIDSAFA;GW;;;WD) Nouveau descripteur de sécurité : S:PARAI(AU;SAFA;KW;;;WD)(AU;CIIOSAFA;GW;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : Key Nom de l’objet : \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration\CertMapping ID du handle : 0x1348 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI(AU;IDSAFA;KW;;;WD)(AU;CIIOIDSAFA;GW;;;WD) Nouveau descripteur de sécurité : S:PARAI(AU;SAFA;KW;;;WD)(AU;CIIOSAFA;GW;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : Key Nom de l’objet : \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration\Client ID du handle : 0x128c Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI(AU;IDSAFA;KW;;;WD)(AU;CIIOIDSAFA;GW;;;WD) Nouveau descripteur de sécurité : S:PARAI(AU;SAFA;KW;;;WD)(AU;CIIOSAFA;GW;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : Key Nom de l’objet : \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration\Listener ID du handle : 0x1348 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI(AU;IDSAFA;KW;;;WD)(AU;CIIOIDSAFA;GW;;;WD) Nouveau descripteur de sécurité : S:PARAI(AU;SAFA;KW;;;WD)(AU;CIIOSAFA;GW;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : Key Nom de l’objet : \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration\Listener\*+HTTP ID du handle : 0x123c Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI(AU;IDSAFA;KW;;;WD)(AU;CIIOIDSAFA;GW;;;WD) Nouveau descripteur de sécurité : S:PARAI(AU;SAFA;KW;;;WD)(AU;CIIOSAFA;GW;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:19:51 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : Key Nom de l’objet : \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration\Service ID du handle : 0x128c Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI(AU;IDSAFA;KW;;;WD)(AU;CIIOIDSAFA;GW;;;WD) Nouveau descripteur de sécurité : S:PARAI(AU;SAFA;KW;;;WD)(AU;CIIOSAFA;GW;;;WD)
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:19:53 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e4 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x488 Nom du processus : C:\Windows\System32\dllhost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:19:53 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e4 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x488 Nom du processus : C:\Windows\System32\dllhost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:19:53 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x51c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:19:53 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x51c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:19:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:19:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:19:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:19:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-578 Nom du compte : Administrateurs Hyper-V Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-552 Nom du compte : Duplicateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-568 Nom du compte : IIS_IUSRS Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-546 Nom du compte : Invités Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-573 Nom du compte : Lecteurs des journaux d’événements Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-579 Nom du compte : Opérateurs d'assistance de contrôle d'accès Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-569 Nom du compte : Opérateurs de chiffrement Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-556 Nom du compte : Opérateurs de configuration réseau Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-581 Nom du compte : System Managed Accounts Group Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-545 Nom du compte : Utilisateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-547 Nom du compte : Utilisateurs avec pouvoir Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-580 Nom du compte : Utilisateurs de gestion à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-558 Nom du compte : Utilisateurs de l’Analyseur de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-555 Nom du compte : Utilisateurs du Bureau à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-559 Nom du compte : Utilisateurs du journal de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-562 Nom du compte : Utilisateurs du modèle COM distribué Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1005 Nom du compte : HomeUsers Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528 Nom du processus : C:\$WINDOWS.~BT\Sources\SetupPlatform.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:40 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:41 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:41 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:41 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:20:41 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xdec Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:20:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:20:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:20:59 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:20:59 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:20:59 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13568 | 2017-10-28 23:21:34 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\Temp\winre\ExtractedFromWim ID du handle : 0x7ac Informations sur le processus : ID du processus : 0x210 Nom du processus : C:\Windows\System32\oobe\msoobe.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:21:34 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x90c Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:21:34 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x90c Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : TSSecKeySet1 Type de clé : %%2499 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : TSSecKeySet1 Type de clé : %%2499 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : TSSecKeySet1 Type de clé : %%2499 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : TSSecKeySet1 Type de clé : %%2499 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {017CBA53-0D19-4FDA-B349-B7CB14D04E5A} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {93891198-EF71-46B1-9DE3-F64E9722A950} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {0C3D22D4-A81F-4BB9-B76D-BE39C05CD05A} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {C93AD19C-6222-41A2-9978-88C94FB8490C} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {7B49E8D5-CFE9-497A-885D-9DD3A03E0ADB} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {017CBA53-0D19-4FDA-B349-B7CB14D04E5A} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\3d6d5db9760c8a75461805e4755d2cc1_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {93891198-EF71-46B1-9DE3-F64E9722A950} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c5a2cb6683c55067efab5ce19763f3b4_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {0C3D22D4-A81F-4BB9-B76D-BE39C05CD05A} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\aa2b36ce7882fd583f748519b4fc93b4_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {C93AD19C-6222-41A2-9978-88C94FB8490C} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\22d748b5e29db956a1feba1d012b4479_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {7B49E8D5-CFE9-497A-885D-9DD3A03E0ADB} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de8a5aad3e3e84020f8ca8c979061979_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x310 Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x310 Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:21:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x310 Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:22:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:22:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:22:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:22:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:23:14 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1478 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:23:14 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1478 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {8E960B03-7DB7-42BD-AA9B-24479152097D} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {8E960B03-7DB7-42BD-AA9B-24479152097D} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\913db72d5384d7cb706bee28e38b6dad_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x7bc Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Adresse du réseau : 127.0.0.1 Port : 0 Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x54caec ID d'ouverture de session liée : 0x54cb22 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x7bc Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x54cb22 ID d'ouverture de session liée : 0x54caec Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x7bc Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x2c4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 7 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x54ce97 ID d'ouverture de session liée : 0x54cecf Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2c4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Negotiat Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 7 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x54cecf ID d'ouverture de session liée : 0x54ce97 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2c4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Negotiat Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x54cecf Type d’ouverture de session : 7 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x54ce97 Type d’ouverture de session : 7 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0x54caec Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0x54ce97 Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:36 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:23:37 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x710 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:23:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:23:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:23:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : f281a74a1e718fa6 Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : f281a74a1e718fa6 Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\4f6ebbf1df167673648ecc786d7d9d53_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:23:47 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : f281a74a1e718fa6 Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:23:56 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : - Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:24:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:24:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:24:53 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:54 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:24:55 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:11 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:13 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:25:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:25:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:25:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:25:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:25:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:25:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:29 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:34 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:36 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:37 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:25:40 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:25:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:25:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:25:50 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3408 Nom du processus : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:08 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:28:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x32d8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:55 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:29:58 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4284 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:30:16 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:30:16 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:30:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:30:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:30:18 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x2f14 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-28 23:30:18 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x2f14 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:30:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:30:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:31:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:31:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:33:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:33:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:33:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8e8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:37:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:37:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:38:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x54cb22 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:39:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:39:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:39:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:39:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:39:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:39:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:39:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:39:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:39:57 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:39:57 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:40:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:40:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:44:29 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:44:29 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:47:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:47:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-28 23:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:54:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:54:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:55:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:55:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:55:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:55:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:55:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:55:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:55:10 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:55:10 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:55:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:55:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-28 23:55:33 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : 19c7bd8c-e587-238f-f069-37f7776bfdf7 Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-28 23:55:33 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : 19c7bd8c-e587-238f-f069-37f7776bfdf7 Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\ProgramData\Microsoft\Crypto\SystemKeys\2104a9955bfc9adaf4647cb67e9a567b_a0c1aef8-3d19-4d78-a2ae-737f9b70fa4b Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:56:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:56:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:57:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:57:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:57:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:57:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-28 23:58:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-28 23:58:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:03:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:03:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:03:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:03:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:03:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:03:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:05:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:05:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:05:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:05:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:06:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:06:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:08:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:08:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:15:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:15:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:15:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:15:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:18:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:18:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:18:17 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:18:17 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:23:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:23:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:23:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:24:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:40:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:40:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:41:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:41:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:46:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:46:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 00:53:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:56:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:56:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:57:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:58:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:58:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:58:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 00:58:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:58:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 00:58:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:00:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 3 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x3591a3f ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x0 Nom du processus : - Informations sur le réseau : Nom de la station de travail : \\192.168.1.60 Adresse du réseau source : 192.168.1.60 Port source : 40235 Informations détaillées sur l'authentification : Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : NTLM V1 Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 01:00:11 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x3591a3f Type d’ouverture de session : 3 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:00:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:00:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:00:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:00:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:03:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:03:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:03:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:03:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:08:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:08:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:08:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:08:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:08:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:08:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:09:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:09:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:09:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 01:09:44 | | Microsoft-Windows-Security-Auditing | 4647: Fermeture de session initiée par l’utilisateur : Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x54cb22 Cet événement est généré lorsqu’une fermeture de session est initiée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:09:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 103 | 2017-10-29 01:09:45 | | Microsoft-Windows-Eventlog | 1100: Le service d’enregistrement des événements a été arrêté.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:09:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2b8 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:09:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:09:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:09:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:09:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:09:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x8bc Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:08 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x184 Nom du nouveau processus : ??????????????-??6?4????0--?0??????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x4 Nom du processus créateur : ??????? Ligne de commande du processus : ????0--?0??????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13573 | 2017-10-29 01:10:08 | | Microsoft-Windows-Security-Auditing | 4826: Données de configuration de démarrage chargées. Objet : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x3e7 Paramètres généraux : Options de chargement : - Options avancées : %%1843 Stratégie d'accès à la configuration : %%1846 Journalisation des événements système : %%1843 Débogage Kernel: %%1843 Type de démarrage VSM : %%1848 Paramètres de signature : Signature de test : %%1843 Signature de vol : %%1842 Désactiver les vérifications de l'intégrité : %%1843 Paramètres de l'hyperviseur: Options de chargement de l'hyperviseur : - Type de démarrage de l'hyperviseur : %%1848 Débogage de l'hyperviseur : %%1843
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:09 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x1d0 Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x184 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:10 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x210 Nom du nouveau processus : ??????????????-??6??4????0--?0????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x184 Nom du processus créateur : ????????????????????4? Ligne de commande du processus : ????0--?0????????????????????4? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:10 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x220 Nom du nouveau processus : ??????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x210 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 12288 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4608: Windows démarre. Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 0 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : - Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x4 Nom du processus : ? Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : - Package d'authentification : - Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-0 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x28c Nom du processus : C:\Windows\System32\wininit.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-0 Nom du compte : UMFD-0 Domaine du compte : Font Driver Host ID d'ouverture de session : 0xb040 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x28c Nom du processus : C:\Windows\System32\wininit.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-20 Nom du compte : SERVICE RÉSEAU Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e4 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-1 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x1ec Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-1 Nom du compte : UMFD-1 Domaine du compte : Font Driver Host ID d'ouverture de session : 0x10a96 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1ec Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e5 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : DWM-1 Domaine du compte : Window Manager GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x1ec Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d'ouverture de session : 0x12128 ID d'ouverture de session liée : 0x12164 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1ec Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d'ouverture de session : 0x12164 ID d'ouverture de session liée : 0x12128 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1ec Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-20 Nom du compte : SERVICE RÉSEAU Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e4 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d’ouverture de session : 0x12128 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID d’ouverture de session : 0x12164 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x284 Nom du nouveau processus : ??????????????-??6??4????0--?0????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x184 Nom du processus créateur : ????????????????????4? Ligne de commande du processus : ????0--?0????????????????????4? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x28c Nom du nouveau processus : ???????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x210 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x294 Nom du nouveau processus : ??????????????e??? ????????? ???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x284 Nom du processus créateur : ????????????????????4 Ligne de commande du processus : ????0--?0????????????????????4 Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x2d4 Nom du nouveau processus : ????????????????-??6??c????0--?0???????????????e?????? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x28c Nom du processus créateur : ???????????????e?????? Ligne de commande du processus : ????0--?0???????????????e?????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13312 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4688: Un nouveau processus a été créé. Objet créateur : ID de sécurité : S-1-5-18 Nom du compte : - Domaine du compte : - ID de connexion : 0x3e7 Objet cible : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID de connexion : 0x0 Informations sur le processus : ID du nouveau processus : 0x2e4 Nom du nouveau processus : ??????????????e??? ????????? ???????????????????????4? Type d'élévation du jeton : %%1936 Étiquette obligatoire : S-1-16-16384 ID du processus créateur : 0x28c Nom du processus créateur : ???????????????e?????? Ligne de commande du processus : ????0--?0???????????????e?????? Le type d'élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie Contrôle de compte d'utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni groupe désactivé. Un jeton complet est uniquement utilisé si le Contrôle de compte d'utilisateur est désactivé, ou que l'utilisateur est le compte d'administrateur intégré ou un compte de service. Le type 2 est un jeton avec élévation de privilèges sans aucun privilège supprimé ni groupe désactivé. Un jeton avec élévation de privilèges est utilisé lorsque le Contrôle de compte d'utilisateur est activé et que l'utilisateur choisit de démarrer le programme en tant qu'administrateur. Un jeton avec élévation de privilèges est également utilisé lorsqu'une application est configurée pour exiger systématiquement un privilège administratif ou le privilège maximal, et que l'utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le Contrôle de compte d'utilisateur est activé, que l'application n'exige pas le privilège administratif et que l'utilisateur ne choisit pas de démarrer le programme en tant qu'administrateur.
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 01:10:11 | | Microsoft-Windows-Security-Auditing | 4902: La table de stratégie d’audit par utilisateur a été créée. Nombre d’éléments : 0 ID de la stratégie : 0xae82
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 5033: Le pilote du Pare-feu Windows est correctement démarré.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 3 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-7 Nom du compte : ANONYMOUS LOGON Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3954a ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x0 Nom du processus : - Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : NTLM V1 Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xcac Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xcac Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e4 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xf08 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e4 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xf08 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 5024: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Adresse du réseau : 127.0.0.1 Port : 0 Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x49970 ID d'ouverture de session liée : 0x49a49 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x49a49 ID d'ouverture de session liée : 0x49970 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0x49970 Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1004 Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1004 Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:10:13 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x66c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x47c Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x47c Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x47c Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:16 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:17 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : f281a74a1e718fa6 Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : f281a74a1e718fa6 Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\4f6ebbf1df167673648ecc786d7d9d53_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : f281a74a1e718fa6 Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:10:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:10:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:10:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:10:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:11:09 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x49a49 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3158 Nom du processus : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 01:11:23 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:11:23 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 01:11:23 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:11:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:11:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:12:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:12:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:12:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:12:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:12:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:12:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:12:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x3a48 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 01:12:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x3a48 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : UMFD-2 Domaine du compte : Font Driver Host GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x1280 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-96-0-2 Nom du compte : UMFD-2 Domaine du compte : Font Driver Host ID d'ouverture de session : 0x52d598 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1280 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : DWM-2 Domaine du compte : Window Manager GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x1280 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-2 Nom du compte : DWM-2 Domaine du compte : Window Manager ID d'ouverture de session : 0x52e52a ID d'ouverture de session liée : 0x52e549 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1280 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 2 Mode administrateur restreint : - Compte virtuel : %%1842 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-90-0-2 Nom du compte : DWM-2 Domaine du compte : Window Manager ID d'ouverture de session : 0x52e549 ID d'ouverture de session liée : 0x52e52a Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x1280 Nom du processus : C:\Windows\System32\winlogon.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-2 Nom du compte : DWM-2 Domaine du compte : Window Manager ID d’ouverture de session : 0x52e52a Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:13:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-90-0-2 Nom du compte : DWM-2 Domaine du compte : Window Manager ID d’ouverture de session : 0x52e549 Privilèges : SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4647: Fermeture de session initiée par l’utilisateur : Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x49a49 Cet événement est généré lorsqu’une fermeture de session est initiée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 01:13:21 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 01:13:23 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-96-0-1 Nom du compte : UMFD-1 Domaine du compte : Font Driver Host ID du compte : 0x10a96 Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 01:13:23 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID du compte : 0x12164 Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 01:13:23 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-90-0-1 Nom du compte : DWM-1 Domaine du compte : Window Manager ID du compte : 0x12128 Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:13 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Adresse du réseau : 127.0.0.1 Port : 0 Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x55049e ID d'ouverture de session liée : 0x5504ed Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x5504ed ID d'ouverture de session liée : 0x55049e Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0x55049e Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:13 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:18:13 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x66c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3814 Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3814 Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:14 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3814 Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : maick Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:15 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnut Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:17 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:17 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:20 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x4ac Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:22 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:22 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:30 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:18:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:18:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:19:09 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1998 Nom du processus : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:19:24 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:19:24 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:19:24 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : ECDSA_P256 Nom de la clé : Microsoft Connected Devices Platform device certificate Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:20:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {8E960B03-7DB7-42BD-AA9B-24479152097D} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {8E960B03-7DB7-42BD-AA9B-24479152097D} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\913db72d5384d7cb706bee28e38b6dad_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Adresse du réseau : 127.0.0.1 Port : 0 Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x99ecb4 ID d'ouverture de session liée : 0x99ecee Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x99ecee ID d'ouverture de session liée : 0x99ecb4 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x2e4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 7 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x9a00d3 ID d'ouverture de session liée : 0x9a01b2 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2e4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Negotiat Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 7 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0x9a01b2 ID d'ouverture de session liée : 0x9a00d3 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2e4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Negotiat Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x9a01b2 Type d’ouverture de session : 7 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x9a00d3 Type d’ouverture de session : 7 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x99ecee Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x99ecb4 Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0x99ecb4 Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0x9a00d3 Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:20:09 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:28 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:30 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:30 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:32 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1288 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:21:33 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:21:36 | | Microsoft-Windows-Security-Auditing | 4904: Une tentative d’inscription de la source d’un événement de sécurité a été effectuée. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe Source de l’événement : Nom de la source : VSSAudit ID de la source de l’événement : 0xa60fd4
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:21:36 | | Microsoft-Windows-Security-Auditing | 4905: Une tentative d’annulation d’inscription de la source d’un événement de sécurité a été effectuée. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Processus : ID du processus : 0x4608 Nom du processus : C:\Windows\System32\VSSVC.exe Source de l’événement : Nom de la source : VSSAudit ID de la source de l’événement : 0xa60fd4
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:21:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:21:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms ID du handle : 0xf6c Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\WinSxS\FileMaps\$$.cdf-ms ID du handle : 0x688 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms ID du handle : 0xb50 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\WinSxS\FileMaps\$$_syswow64_macromed_flash_853cbcf10f17f618.cdf-ms ID du handle : 0x1388 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms ID du handle : 0x1158 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\WinSxS\FileMaps\$$_system32_macromed_flash_5ff3bc7496f0271e.cdf-ms ID du handle : 0xb50 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : ? Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\System32\Macromed\Flash\activex.vch ID du handle : 0x1388 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\System32\Macromed\Flash\Flash.ocx ID du handle : 0xa68 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.dll ID du handle : 0x688 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe ID du handle : 0x78c Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\SysWOW64\Macromed\Flash\activex.vch ID du handle : 0x1388 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\SysWOW64\Macromed\Flash\Flash.ocx ID du handle : 0x6c8 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\SysWOW64\Macromed\Flash\FlashUtil_ActiveX.dll ID du handle : 0xb50 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 03:22:13 | | Microsoft-Windows-Security-Auditing | 4907: Les paramètres d’audit sur l’objet ont changé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Objet : Serveur de l’objet : Security Type d’objet : File Nom de l’objet : C:\Windows\SysWOW64\Macromed\Flash\FlashUtil_ActiveX.exe ID du handle : 0x688 Informations sur le processus : ID du processus : 0x3bcc Nom du processus : C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.16299.15_none_2c4b8d3b386eed8e\TiWorker.exe Paramètres d’audit : Descripteur de sécurité d’origine : S:AI Nouveau descripteur de sécurité : S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:22 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:22 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:22:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:22:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-545 Nom du compte : Utilisateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 03:23:03 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-546 Nom du compte : Invités Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x3778 Nom du processus : C:\Windows\System32\CompatTelRunner.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:33:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1168 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:34:59 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2f64 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:35:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:35:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:38:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:38:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:45:29 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:45:29 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:45:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:45:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 03:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 03:55:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 03:55:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 04:25:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 04:25:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 04:43:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 04:43:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 04:46:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 04:46:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 04:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 04:58:32 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e4 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : TSSecKeySet1 Type de clé : %%2499 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 04:58:32 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-20 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e4 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : TSSecKeySet1 Type de clé : %%2499 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 04:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 04:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:03:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:03:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:03:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:03:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:00 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:01 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:01 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:08 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:10 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4904: Une tentative d’inscription de la source d’un événement de sécurité a été effectuée. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe Source de l’événement : Nom de la source : VSSAudit ID de la source de l’événement : 0x19a56c3
|
| | Sécurité | Audit Success | 13568 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4905: Une tentative d’annulation d’inscription de la source d’un événement de sécurité a été effectuée. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Processus : ID du processus : 0x40f4 Nom du processus : C:\Windows\System32\VSSVC.exe Source de l’événement : Nom de la source : VSSAudit ID de la source de l’événement : 0x19a56c3
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:11 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:04:12 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x1074 Nom du processus : C:\Windows\System32\RecoveryDrive.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:09:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:09:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:12:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:12:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:22:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:22:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:22:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4722: Un compte d’utilisateur a été activé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x55049e Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x55049e Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : gnutv Nom complet : %%1793 Nom principal de l’utilisateur : - Répertoire de base : %%1793 Lecteur de base : %%1793 Chemin d’accès au script : %%1793 Chemin d’accès au profil : %%1793 Stations de travail utilisateurs : %%1793 Dernière modification du mot de passe le : 07/07/2017 22:47:49 Le compte expire le : %%1794 ID de groupe principal : 513 Délégué autorisé : - Ancienne valeur UAC : 0x211 Nouvelle valeur UAC : 0x210 Contrôle du compte d’utilisateur : %%2048 Paramètres utilisateur : %%1793 Historique SID : - Horaire d’accès : %%1797 Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:05 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4726: Un compte d’utilisateur a été supprimé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x55049e Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : maick Domaine du compte : PCDEGNUTVR2017 Informations supplémentaires : Privilèges -
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4733: Un membre a été supprimé d’un groupe local dont la sécurité est activée. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x55049e Membre : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : - Groupe : ID de sécurité : S-1-5-32-545 Nom du groupe : Utilisateurs Domaine du groupe : Builtin Informations supplémentaires : Privilèges : -
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4733: Un membre a été supprimé d’un groupe local dont la sécurité est activée. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x55049e Membre : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : - Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1005 Nom du groupe : HomeUsers Domaine du groupe : PCDEGNUTVR2017 Informations supplémentaires : Privilèges : -
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:23:29 | | Microsoft-Windows-Security-Auditing | 4729: Un membre a été supprimé d’un groupe global dont la sécurité est activée. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x55049e Membre : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1009 Nom du compte : - Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-513 Nom du groupe : Aucun Domaine du groupe : PCDEGNUTVR2017 Informations supplémentaires : Privilèges : -
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:23:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:23:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 05:23:30 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x66c Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:23:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:23:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:23:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:23:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x12dc Nom du processus : C:\Windows\System32\SystemSettingsAdminFlows.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:23:47 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x42a4 Nom du processus : C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:29:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:29:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 05:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:57:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:57:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:57:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:57:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 05:58:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 05:58:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:06:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:06:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:07:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:07:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:08:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:08:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:08:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:08:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:08:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:08:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:09:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:09:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:11:24 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:11:24 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:25:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:25:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 06:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 06:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 06:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:14:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:14:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 07:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:24:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:24:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:45:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:45:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:45:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:45:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 07:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:53:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:53:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:53:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:53:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:54:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:54:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 07:54:54 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xf54 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-29 07:54:54 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xf54 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 07:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 07:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 08:27:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 08:27:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 08:48:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 08:54:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 08:54:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 08:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 08:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:06:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:06:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:18:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:18:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:27:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:27:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:31:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:31:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:31:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:31:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:31:50 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:31:50 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:31:51 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:31:51 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:36:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:36:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:37:17 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:37:17 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:38:04 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:38:04 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 09:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:51:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:51:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:51:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:51:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:51:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:51:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 09:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 09:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:08:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:08:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:28:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:28:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:28:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:28:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:41:09 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:41:09 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 10:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 10:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 10:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:14:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:14:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:14:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:14:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 11:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:24:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:24:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:44:16 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:44:16 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:48:17 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:48:17 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 11:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:53:06 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:53:06 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 11:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 11:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:13:22 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:13:22 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:18:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:18:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:27:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:27:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:42:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:42:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:42:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:42:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:42:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:42:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:42:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:42:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:43:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:43:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:43:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:43:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:43:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:44:20 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:45:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x2948 Nom du processus : C:\Windows\explorer.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:45:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:45:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:48:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Administrateur Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : DefaultAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : defaultuser0 Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutv Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : gnutvip Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : HomeGroupUser$ Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Sonos Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : WDAGUtilityAccount Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 12:55:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x5504ed Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x1998 Nom du processus : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:55:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:55:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 12:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 12:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:18:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:18:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:26 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:29:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:29:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:43:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:43:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:43:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:43:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 13:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:53:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:53:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 13:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 13:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:17:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:17:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:29:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:29:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:47:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:47:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 14:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 14:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 14:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:14:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:14:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 15:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:29:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:29:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:46:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:46:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 15:48:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 15:59:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 15:59:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:10:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:10:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:18:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:29:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:29:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:36:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:36:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:38:58 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:38:58 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:47:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:47:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:47:56 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x575c Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:47:56 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x575c Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 16:47:56 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x575c Nom du processus : C:\Windows\System32\LogonUI.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 16:48:06 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 16:48:06 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 17:14:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 17:14:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:14:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 17:26:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 17:26:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 17:41:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 17:41:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 17:44:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 17:56:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 17:56:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:00:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:00:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:24:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:24:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:26:20 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:26:20 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:39:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:39:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 18:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 18:56:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 18:56:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:23:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:23:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:40:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:40:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 19:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 19:51:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 19:51:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 20:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 20:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 20:26:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 20:26:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 20:40:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 20:40:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 20:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 20:56:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 20:56:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:03:06 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:03:06 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:03:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:03:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:03:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:03:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:03:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:03:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:03:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:03:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:14:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:14:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:02 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:06 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:06 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:06 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:20:06 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x528c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:26:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:26:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:41:10 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:41:10 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 21:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 21:53:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 21:53:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:26:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:26:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:41:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:41:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 22:44:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:56:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:56:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 22:56:20 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 22:56:20 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:09:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:09:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-29 23:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:25:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:25:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:26:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:26:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:26:57 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:26:57 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:27:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:27:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:41:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:41:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-29 23:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-29 23:56:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-29 23:56:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:11:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:14:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:26:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:26:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:26:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:26:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:41:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:41:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 00:44:46 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:56:19 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:56:19 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 00:57:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 00:57:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-30 01:10:15 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0x6958 Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 01:10:19 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : 19c7bd8c-e587-238f-f069-37f7776bfdf7 Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 01:10:19 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : 19c7bd8c-e587-238f-f069-37f7776bfdf7 Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\ProgramData\Microsoft\Crypto\SystemKeys\2104a9955bfc9adaf4647cb67e9a567b_a0c1aef8-3d19-4d78-a2ae-737f9b70fa4b Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:10:30 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:10:30 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:12:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:12:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:30 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:30 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:30 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:30 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 01:57:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 01:57:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 01:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:00:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 3 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0xc2780b0 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x0 Nom du processus : - Informations sur le réseau : Nom de la station de travail : \\192.168.1.60 Adresse du réseau source : 192.168.1.60 Port source : 45988 Informations détaillées sur l'authentification : Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : NTLM V1 Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-30 02:00:13 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 ID du compte : 0xc2780b0 Type d’ouverture de session : 3 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:02:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:02:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:09:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:09:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:11:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:11:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:12:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:12:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:57:29 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:57:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:57:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:57:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:57:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 02:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 02:57:51 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 02:57:51 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:08:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:08:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:15:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:15:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:15:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7cf4 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:15:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7cf4 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:15:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7cf4 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:15:03 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7cf4 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 03:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:26:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:26:42 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:26:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:26:42 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:26:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:26:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:26:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:26:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:27:25 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:27:25 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:28:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:28:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:50:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:50:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 03:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 04:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:57:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:57:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 04:57:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 04:57:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:08:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:08:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:16:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:16:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:27:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:31:00 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x685c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:31:00 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x685c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:31:00 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x685c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:31:00 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x685c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:31:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:31:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:31:29 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:31:29 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 05:57:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 05:57:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:43 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 05:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 06:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 06:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 06:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 06:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 06:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 06:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 06:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 06:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 06:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:52 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 07:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:51:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:51:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 07:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:23:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:23:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 08:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 09:57:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:27:44 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:40:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:40:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:31 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:47:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x5744 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 10:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:09:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:09:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:10:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:10:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {8E960B03-7DB7-42BD-AA9B-24479152097D} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {8E960B03-7DB7-42BD-AA9B-24479152097D} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\913db72d5384d7cb706bee28e38b6dad_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5059: Opération de migration de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations supplémentaires : Opération : %%2464 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : {2035FD1C-72A0-4E81-BE29-AFCFD3CEB891} Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\54d24d3abc99ffa1d6e066de7dc46c9e_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Adresse du réseau : 127.0.0.1 Port : 0 Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0xeff4c90 ID d'ouverture de session liée : 0xeff4ced Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 11 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0xeff4ced ID d'ouverture de session liée : 0xeff4c90 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x734 Nom du processus : C:\Windows\System32\svchost.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : 127.0.0.1 Port source : 0 Informations détaillées sur l'authentification : Processus d'ouverture de session : User32 Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4648: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x2e4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 7 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0xeff7180 ID d'ouverture de session liée : 0xeff71da Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2e4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Negotiat Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 7 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d'ouverture de session : 0xeff71da ID d'ouverture de session liée : 0xeff7180 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2e4 Nom du processus : C:\Windows\System32\lsass.exe Informations sur le réseau : Nom de la station de travail : PCDEGNUTVR2017 Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Negotiat Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0xeff71da Type d’ouverture de session : 7 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0xeff7180 Type d’ouverture de session : 7 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0xeff4ced Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12545 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID du compte : 0xeff4c90 Type d’ouverture de session : 2 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0xeff4c90 Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut@gnut.eu Domaine du compte : MicrosoftAccount ID d’ouverture de session : 0xeff7180 Privilèges : SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:14:31 | | Microsoft-Windows-Security-Auditing | 4738: Un compte d’utilisateur a été modifié. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Compte cible : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Attributs modifiés : Nom du compte SAM : - Nom complet : Gérald COL Nom principal de l’utilisateur : - Répertoire de base : - Lecteur de base : - Chemin d’accès au script : - Chemin d’accès au profil : - Stations de travail utilisateurs : - Dernière modification du mot de passe le : - Le compte expire le : - ID de groupe principal : - Délégué autorisé : - Ancienne valeur UAC : - Nouvelle valeur UAC : - Contrôle du compte d’utilisateur : - Paramètres utilisateur : - Historique SID : - Horaire d’accès : - Informations supplémentaires : Privilèges: -
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 11:18:55 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:25:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:25:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:27:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:38:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:38:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:55:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 11:57:45 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12288 | 2017-10-30 12:03:48 | | Microsoft-Windows-Security-Auditing | 4616: L’heure du système a été modifiée. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0x7214 Nom : C:\Windows\System32\svchost.exe Heure précédente : 2017-10-30T11:03:59.730297400Z Nouvelle heure : 2017-10-30T11:03:48.120474100Z Cet événement est généré lorsque l’heure du système est modifiée. Le changement régulier de l’heure du système est une opération normale de la part du service de temps Windows qui s’exécute avec des privilèges système. D’autres modifications de l’heure du système peuvent indiquer des tentatives de modification non autorisées de l’ordinateur.
|
| | Sécurité | Audit Success | 12288 | 2017-10-30 12:03:48 | | Microsoft-Windows-Security-Auditing | 4616: L’heure du système a été modifiée. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0x7214 Nom : C:\Windows\System32\svchost.exe Heure précédente : 2017-10-30T11:03:48.131991500Z Nouvelle heure : 2017-10-30T11:03:48.131987400Z Cet événement est généré lorsque l’heure du système est modifiée. Le changement régulier de l’heure du système est une opération normale de la part du service de temps Windows qui s’exécute avec des privilèges système. D’autres modifications de l’heure du système peuvent indiquer des tentatives de modification non autorisées de l’ordinateur.
|
| | Sécurité | Audit Success | 12288 | 2017-10-30 12:03:48 | | Microsoft-Windows-Security-Auditing | 4616: L’heure du système a été modifiée. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0x7214 Nom : C:\Windows\System32\svchost.exe Heure précédente : 2017-10-30T11:03:48.131380600Z Nouvelle heure : 2017-10-30T11:03:48.131378100Z Cet événement est généré lorsque l’heure du système est modifiée. Le changement régulier de l’heure du système est une opération normale de la part du service de temps Windows qui s’exécute avec des privilèges système. D’autres modifications de l’heure du système peuvent indiquer des tentatives de modification non autorisées de l’ordinateur.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 12:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 12:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 12:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 12:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 12:42:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 12:42:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 12:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 12:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 12:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:02:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:02:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:45:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:45:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:53:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:53:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 13:57:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 13:58:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 13:58:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:03:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:03:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:11:57 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:11:57 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:27:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:27:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:33 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:38:04 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:38:04 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:53:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:53:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:54:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:54:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 14:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:43 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 15:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:55:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:55:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 15:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 16:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:00:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:00:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:55:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:55:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 17:57:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:27:34 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:27:34 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:34 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:38:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:38:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 18:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:22 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:14:25 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xa350 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:44 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 19:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:48:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:48:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:55:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:55:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 19:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:52:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:52:08 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:52:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:52:08 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:52:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:52:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:52:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:52:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:52:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:52:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:52:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:52:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 20:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:00:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:00:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:01:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:01:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:17:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:17:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:36:17 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:36:17 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:53:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:53:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 21:57:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:02:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:02:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:27:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:27:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:35 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 22:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:10:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:10:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:45 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-30 23:18:47 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:19:50 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:19:50 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-30 23:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 00:55:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 00:55:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:55:38 | | Microsoft-Windows-Security-Auditing | 4797: Tentative d’interrogation de l’existence d’un mot de passe vide pour un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Informations supplémentaires : Station de travail de l’appelant : PCDEGNUTVR2017 Nom du compte cible : Invité Domaine du compte cible : PCDEGNUTVR2017
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 00:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 00:59:21 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 00:59:21 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 01:00:59 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 01:00:59 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 01:32:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 01:32:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 01:57:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:00:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d'ouverture de session : 0x0 Informations d'ouverture de session : Type d'ouverture de session : 3 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1843 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x12aa97c0 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x0 Nom du processus : - Informations sur le réseau : Nom de la station de travail : \\192.168.1.60 Adresse du réseau source : 192.168.1.60 Port source : 40447 Informations détaillées sur l'authentification : Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : NTLM V1 Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12545 | 2017-10-31 02:00:03 | | Microsoft-Windows-Security-Auditing | 4634: Fermeture de session d’un compte. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 ID du compte : 0x12aa97c0 Type d’ouverture de session : 3 Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:02:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:02:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:02:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:02:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:19:35 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:19:35 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:19:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:19:44 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:19:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:19:44 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:27:36 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:27:36 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:36 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:57:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 02:57:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:57:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 02:57:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 02:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:04:47 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:04:47 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:04:51 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:04:51 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:04:51 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb1e8 Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:04:51 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb1e8 Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:04:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:04:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:04:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:04:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:05:04 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:05:04 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:05:04 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xbc40 Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:05:04 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xbc40 Nom du processus : C:\Windows\System32\SearchIndexer.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 03:10:49 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xb7bc Nom du processus : C:\Windows\System32\VSSVC.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:10:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:10:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12288 | 2017-10-31 03:11:05 | | Microsoft-Windows-Security-Auditing | 4616: L’heure du système a été modifiée. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0xbdfc Nom : C:\Windows\System32\svchost.exe Heure précédente : 2017-10-31T02:11:05.180166500Z Nouvelle heure : 2017-10-31T02:11:05.180114100Z Cet événement est généré lorsque l’heure du système est modifiée. Le changement régulier de l’heure du système est une opération normale de la part du service de temps Windows qui s’exécute avec des privilèges système. D’autres modifications de l’heure du système peuvent indiquer des tentatives de modification non autorisées de l’ordinateur.
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:46 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 03:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:53:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:53:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 03:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:01:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:01:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:02:54 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:02:54 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:36:52 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:36:52 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:37:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:37:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:48:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:48:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 04:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:15:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:15:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:20:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:20:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:20:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb16c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:20:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb16c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:20:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb16c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:20:48 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb16c Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:21:26 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:21:26 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 05:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 06:09:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 06:09:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 06:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 06:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 06:40:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 06:40:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 06:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 06:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 06:57:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:08:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:08:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:48 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 07:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:27:37 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:40:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:40:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:45:22 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:45:22 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:45:23 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:45:23 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:45:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:45:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 07:57:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 07:57:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 07:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:09:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:09:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:32:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:32:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:40:31 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:40:31 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:40:32 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:40:32 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 08:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:10:14 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:10:14 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:25:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:25:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:30:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:30:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 09:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:23:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:23:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 10:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:09:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:09:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:49 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 11:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:23:46 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:23:46 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:11 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:49:16 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xb104 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 11:57:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 12:57:38 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 12:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 12:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:10:02 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:10:02 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:35:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:35:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:53:37 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:53:37 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 13:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:54:33 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:54:33 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:50 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 15:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 15:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:27:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:53:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:53:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 16:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:10:00 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:10:00 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 17:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:14:03 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:14:03 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:14:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:14:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:14:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:14:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:14:07 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:14:07 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:14:12 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:14:12 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:15:01 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:15:01 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:15:55 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:15:55 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:15:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:15:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 18:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:10:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:10:18 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:10:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:10:18 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:51 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12290 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5061: Opération de chiffrement. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : RSA Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Opération de chiffrement : Opération : %%2480 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12292 | 2017-10-31 19:18:53 | | Microsoft-Windows-Security-Auditing | 5058: Opération sur un fichier de clé. Sujet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d’ouverture de session : 0x5504ed Paramètres de chiffrement : Nom du fournisseur : Microsoft Software Key Storage Provider Nom de l’algorithme : UNKNOWN Nom de la clé : Key2WrapEncryptionAsymKey Type de clé : %%2500 Informations concernant une opération sur un fichier de clé : Chemin d’accès au fichier : C:\Users\gnut\AppData\Roaming\Microsoft\Crypto\Keys\2a3d0f70695a7ab1797358ec1a754f7d_7ea2e3e7-457d-4cea-a7ea-934dbb9dfc26 Opération : %%2458 Code de retour : 0x0
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:40:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:40:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 19:55:49 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 19:55:49 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 19:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 20:08:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 20:08:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 20:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 20:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 20:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 20:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 20:55:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 20:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 20:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:10:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:10:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:25:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:27:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:40:48 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:40:48 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:54:43 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:56:13 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:56:13 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:40 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 21:57:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:01:27 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x9fd0 Nom du processus : C:\Windows\System32\taskhostw.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:10:56 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:10:56 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:23:05 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:23:05 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:26:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:26:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:26:28 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:26:28 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:27:41 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0x7a4 Nom du processus : C:\Windows\System32\svchost.exe
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:28:57 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:28:57 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:29:27 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:29:27 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 12544 | 2017-10-31 22:35:53 | | Microsoft-Windows-Security-Auditing | 4624: L'ouverture de session d'un compte s'est correctement déroulée. Objet : ID de sécurité : S-1-5-18 Nom du compte : PCDEGNUTVR2017$ Domaine du compte : WORKGROUP ID d'ouverture de session : 0x3e7 Informations d'ouverture de session : Type d'ouverture de session : 5 Mode administrateur restreint : - Compte virtuel : %%1843 Jeton élevé : %%1842 Niveau d'emprunt d'identité : %%1833 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d'ouverture de session : 0x3e7 ID d'ouverture de session liée : 0x0 Nom du compte réseau : - Domaine du compte réseau : - GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x2d4 Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : - Adresse du réseau source : - Port source : - Informations détaillées sur l'authentification : Processus d'ouverture de session : Advapi Package d'authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté. Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas. Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session. Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique. - Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
|
| | Sécurité | Audit Success | 12548 | 2017-10-31 22:35:53 | | Microsoft-Windows-Security-Auditing | 4672: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-500 Nom du compte : Administrateur Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-501 Nom du compte : Invité Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-503 Nom du compte : DefaultAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1000 Nom du compte : defaultuser0 Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1007 Nom du compte : gnutvip Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1006 Nom du compte : HomeGroupUser$ Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1008 Nom du compte : gnutv Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-504 Nom du compte : WDAGUtilityAccount Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13824 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4798: Une adhésion au groupe local d'un utilisateur a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Utilisateur : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1010 Nom du compte : Sonos Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-578 Nom du compte : Administrateurs Hyper-V Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-544 Nom du compte : Administrateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-552 Nom du compte : Duplicateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1005 Nom du compte : HomeUsers Domaine du compte : PCDEGNUTVR2017 Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-568 Nom du compte : IIS_IUSRS Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-546 Nom du compte : Invités Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-573 Nom du compte : Lecteurs des journaux d’événements Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-579 Nom du compte : Opérateurs d'assistance de contrôle d'accès Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-569 Nom du compte : Opérateurs de chiffrement Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-556 Nom du compte : Opérateurs de configuration réseau Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-551 Nom du compte : Opérateurs de sauvegarde Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-581 Nom du compte : System Managed Accounts Group Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-547 Nom du compte : Utilisateurs avec pouvoir Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-580 Nom du compte : Utilisateurs de gestion à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-558 Nom du compte : Utilisateurs de l’Analyseur de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-555 Nom du compte : Utilisateurs du Bureau à distance Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-559 Nom du compte : Utilisateurs du journal de performances Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-562 Nom du compte : Utilisateurs du modèle COM distribué Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Sécurité | Audit Success | 13826 | 2017-10-31 22:40:29 | | Microsoft-Windows-Security-Auditing | 4799: Une adhésion au groupe local à sécurité activée a été énumérée. Objet : ID de sécurité : S-1-5-21-2323285113-2412819801-397750527-1001 Nom du compte : gnut Domaine du compte : PCDEGNUTVR2017 ID d'ouverture de session : 0x55049e Groupe : ID de sécurité : S-1-5-32-545 Nom du compte : Utilisateurs Domaine du compte : Builtin Informations sur le processus : ID du processus : 0xe86c Nom du processus : C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:13:32 | | Service Control Manager | 7023: Le service Assistance IP s’est arrêté avec l’erreur : %%21
|
| | Système | Avertissement | Aucun(e) | 2017-10-28 23:13:40 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:13:41 | | Service Control Manager | 7030: Le service Extensions et notifications des imprimantes est marqué comme étant interactif. Cependant, le système est configuré pour ne pas autoriser les services interactifs. Ce service peut ne pas fonctionner correctement.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:15:32 | Système | DCOM | 10010: Le serveur {A47979D2-C419-11D9-A5B4-001185AD2B89} ne s’est pas enregistré sur DCOM avant la fin du temps imparti.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:17:09 | SERVICE LOCAL | DCOM | 10010: Le serveur {4991D34B-80A1-4291-83B6-3328366B9097} ne s’est pas enregistré sur DCOM avant la fin du temps imparti.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:17:24 | | Service Control Manager | 7030: Le service HWDeviceService64.exe est marqué comme étant interactif. Cependant, le système est configuré pour ne pas autoriser les services interactifs. Ce service peut ne pas fonctionner correctement.
|
| | Système | Avertissement | Aucun(e) | 2017-10-28 23:17:57 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:19:59 | | WinRM | 10142: Le service Gestion à distance de Windows ne peut pas migrer l’écouteur avec l’adresse * et le transport HTTP. Un écouteur ayant une configuration d’adresse et de transport identique existe déjà.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:20:47 | | NETLOGON | 3095: Cet ordinateur est configuré en tant que membre d’un groupe de travail, et non en tant que membre d’un domaine. Il n’est pas nécessaire d’exécuter le service Accès réseau dans cette configuration.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:20:51 | | Service Control Manager | 7024: Le service BranchCache s’est arrêté avec l’erreur spécifique au service suivante : %%1260
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:23:37 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} et l’APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:23:37 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} et l’APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:25:10 | gnut | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:25:24 | gnut | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-28 23:25:34 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:09:44 | gnut | DCOM | 10010: Le serveur {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} ne s’est pas enregistré sur DCOM avant la fin du temps imparti.
|
| | Système | Avertissement | Aucun(e) | 2017-10-29 01:10:10 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:10:13 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} et l’APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:10:13 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} et l’APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:10:29 | gnut | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:10:43 | gnut | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:10:51 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 01:13:15 | gnut | DCOM | 10010: Le serveur {4AA0A5C4-1B9B-4F2E-99D7-99C6AEC83474} ne s’est pas enregistré sur DCOM avant la fin du temps imparti.
|
| | Système | Avertissement | Aucun(e) | 2017-10-29 03:18:13 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 03:18:14 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} et l’APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 03:18:14 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} et l’APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 03:18:29 | gnut | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 03:18:43 | gnut | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 03:18:52 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Avertissement | 1014 | 2017-10-29 08:43:54 | SERVICE RÉSEAU | Microsoft-Windows-DNS-Client | 1014: La résolution du nom ag.innovid.com a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 13:09:58 | SERVICE LOCAL | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID AUTORITE NT\SERVICE LOCAL de l’utilisateur (S-1-5-19) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Avertissement | Aucun(e) | 2017-10-29 17:14:30 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 23:11:20 | gnut | DCOM | 10016: Les paramètres d’autorisation par défaut de l’ordinateur n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} et l’APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Microsoft.Windows.Cortana_1.9.6.16299_neutral_neutral_cw5n1h2txyewy du conteneur d’applications (S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-2659745135-2630312742). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-29 23:11:20 | gnut | DCOM | 10016: Les paramètres d’autorisation par défaut de l’ordinateur n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} et l’APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} au SID PCDEGNUTVR2017\gnut de l’utilisateur (S-1-5-21-2323285113-2412819801-397750527-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Microsoft.Windows.Cortana_1.9.6.16299_neutral_neutral_cw5n1h2txyewy du conteneur d’applications (S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-2659745135-2630312742). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Avertissement | Aucun(e) | 2017-10-30 01:12:48 | SERVICE LOCAL | Microsoft-Windows-Time-Service | 134: NtpClient n'a pas pu définir d'homologue manuel utilisable comme source de temps en raison d'une erreur de résolution DNS sur "time.windows.com,0x9". NtpClient réessaiera dans 15 minutes, puis doublera l'intervalle d'attente pour les tentatives suivantes. L'erreur était : Hôte inconnu. (0x80072AF9)
|
| | Système | Avertissement | Aucun(e) | 2017-10-30 01:57:30 | SERVICE LOCAL | Microsoft-Windows-Time-Service | 134: NtpClient n'a pas pu définir d'homologue manuel utilisable comme source de temps en raison d'une erreur de résolution DNS sur "time.windows.com,0x9". NtpClient réessaiera dans 15 minutes, puis doublera l'intervalle d'attente pour les tentatives suivantes. L'erreur était : Hôte inconnu. (0x80072AF9)
|
| | Système | Avertissement | Aucun(e) | 2017-10-30 01:57:31 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Avertissement | Aucun(e) | 2017-10-30 02:57:30 | | BTHUSB | 34: La carte locale ne prend pas en charge un état de contrôleur Low Energy important pour la prise en charge du mode périphérique. Le masque d’état pris en charge requis au minimum est 0x491f7fffff, a reçu 0x1fffffff. La fonctionnalité du rôle périphérique Low Energy ne sera pas disponible.
|
| | Système | Erreur | Aucun(e) | 2017-10-31 03:04:51 | SERVICE RÉSEAU | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID AUTORITE NT\SERVICE RÉSEAU de l’utilisateur (S-1-5-20) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Erreur | Aucun(e) | 2017-10-31 03:05:04 | SERVICE RÉSEAU | DCOM | 10016: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et l’APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} au SID AUTORITE NT\SERVICE RÉSEAU de l’utilisateur (S-1-5-20) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
|
| | Système | Avertissement | 1014 | 2017-10-31 22:06:56 | SERVICE RÉSEAU | Microsoft-Windows-DNS-Client | 1014: La résolution du nom ag.innovid.com a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu.
|